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Die folgenden Angaben sind den vom Anrnelder eingereichten Unterlagen entnommen 

© Rechnersystem 

© Es wird ein Verfahren zum Uberwachen eines Rechner- 
systems mit wenigstens einer ersten und einer zweiten 
Recheneinheit, die sich gegenseitig uberwachen, vorge- 
schlagen, bei dem zwischen der ersten und der zweiten 
Recheneinheit (20, 30) uber erste Signalleitungen (6, 8) 
Daten und/oder Steuersignale ubertragen werden; jede 
Recheneinheit (20, 30) die von der anderen Recheneinheit 
(30, 20) Cibertragenen Daten und/oder Steuersignale zum 
Erkennen eines fehlerhaften Zustandes der anderen Re- 
cheneinheit (30, 20) uberpriift; bei Erkennen eines fehler- 
haften Zustandes einer der Recheneinheiten (20, 30) 
durch die andere Recheneinheit (30, 20) von der anderen 
Recheneinheit uber zweite Signalleitungen (12, 10) einen 
Rucksetzimpuls (Reset) zum Neustarten der einen Re- 
cheneinheit (20, 30) ubertragen wird und das Rechnersy- 
stem (2) bei Inbetriebnahme durch Zufuhren eines Ruck- 
setzimpulses (Power-On-Reset) zu den Recheneinheiten 
(20, 30) initialisiert wird. Zur Erhohung der Funktionssi- 
cherheit des Rechnersystems (2) wird wahrend des Initia- 
lisierungsvorgangs bei Inbetriebnahme des Rechnersy- 
stems (2) die Funktion des gegenseitigen Neustartens der 
Recheneinheiten (20, 30) durch Ubertragen von Rucksetz- 
impulsen uber die zweiten Signalleitungen (10, 12) auf 
Fehler uberpriift. 
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Beschreibung 



[0001] Die Erfindung betrifft ein Verfahren zum Uberwa- 
chen eines Rechnersystems mit. wenigstens zwei Rechenein- 
heiten, die sich gegenseitig uberwachen, gemaB dem Ober- 5 
begriff von Patentanspruch 1 sowie ein Rechnersystem mit 
wenigstens zwei Recheneinheiten, die sich gegenseitig 
uberwachen, gemaB dem Oberbegriff von Patentanspruch 9. 
[0002] Derartige eigensichere Rechnersysteme weisen im 
allgemeinen wenigstens zwei Recheneinheiten bzw. Prozes- 10 
soren auf, die sich im Normalbetrieb gegenseitig iiberwa- 
chen. Erkennt eine Recheneinheit bei der anderen Rechen- 
einheit eine Fehlfunktion, so muss das Rechnersystem in ei- 
nen sicheren Zustand versetzt werden. Dies geschieht iibli- 
cherweise dadurch, dass beide Recheneinheiten, zumindest 15 
aber die als fehlerhaft erkannte Recheneinheit, durch einen 
Hardware-Reset zuriickgesetzt werden, so dass sie wieder in 
einem definierten Zustand beginnen konnen. Solche Rech- 
nersysteme werden beispielsweise in sicherheitsrelevanten 
Bereichen in Kraftfahrzeugen eingesetzt, wie beispielsweise 20 
Airbag- oder Gurtstraffersystemen, der elektronischen 
Steuerung der Brennkraftmaschine, elektronischen Brems- 
anlagen und dergleichen. 

[0003] Ein Rechnersystem und ein Verfahren zum Uber- 
wachen des Rechnersystems der eingangs genannten Art 25 
sind beispielsweise aus der DE 37 26 489 Al bekannt. Dort 
ist ein Rechnersystem zur Steuerung eines Betriebsparame- 
ters einer Brennkraftmaschine eines Kraftfahrzeuges beste- 
hend aus zwei Prozessoren, die iiber ein Signalleitungssy- 
stem zum Austausch von Daten und Steuer- bzw. Kontroll- 30 
signalen verbunden sind, vorgeschlagen. Zur gegenseitigen 
Uberwachung der beiden Prozessoren ist jeder Prozessor 
mit einem sogenannten Watch-Dog ausgestattet, der an den 
jeweils anderen Rechner Kontrollsignale abgibt, anhand de- 
rer der jeweils andere Rechner die Funktionsfahigkeit des 35 
das Kontrollsignal aussendenden Rechners iiberpriifen 
kann. Ein zweiter Uberwachungspf ad wird bei einem derar- 
tigen Zwei-Rechner-System durch die Ubertragung von Da- 
ten zwischen den beiden Prozessoren aufgebaut. Die Daten- 
ubertragung erfolgt zyklisch in einem festen Zeitraster, so 40 
dass bei Ausbleiben einer Datenubertragung bzw. -anforde- 
rung eines der beiden Rechner der jeweils andere auf einen 
Funktionsfehler schlieBen und den fehlerhaften Rechner 
iiber einen Reset-Impuls neu starten (Warmstart) kann. Bei 
Inbetriebnahme des Rechnersystems wird ein beiden Rech- 45 
nern gemeinsamer Initialisierungsimpuls (Power On) er- 
zeugt, der beide Rechner gleichzeitig zur Initialisierung zu- 
riicksetzt (Kaltstart). 

[0004] Eine Weiterentwicklung dieses Rechnersystems ist 
in der DE40 04 709A1 derselben Anmelderin offenbart 50 
Um zu verhindern, dass das aus der DE 37 26 489 Al be- 
kannte Rechnersystem nicht ordnungsgemaB in Betrieb ge- 
nommen werden kann, wenn der gemeinsame Initialisie- 
rungsimpuls bzw. die diesen Initialisierungsimpuls erzeu- 
gende Schaltungsanordnung fehlerbehaftet ist, ist bei dem 55 
dort beschriebenen Rechnersystem eine von der den Initiali- 
sierungsimpuls erzeugenden Schaltungsanordnung unab- 
hangige Einheit vorgesehen, die auch bei Ausfall der Schal- 
tungsanordnung einen Riicksetzimpuls an die beiden Re- 
cheneinheiten abgeben kann. 60 
[0005] Des weiteren ist aus der DE198 45 220A1 ein 
Rechnersystem bekannt, das einen Rechner aufweist, der 
iiber Reset-Signalleitungen und Wat.ch-Dog-Signalleitungen 
mit mehreren Peripheriegeraten verbunden ist. Der Rechner 
sendet an die Peripheriegerate sogenannte Watch-Dog-Si- 65 
gnale aus, bei deren Ausbleiben die Peripheriegerate iiber 
die Reset-Signalleitungen an den Rechner einen Riicksetz- 
impuls (Reset) ausgeben. Um zu vermeiden, dass das Rech- 



nersystem aufgrund zeitversetzt erzeugter Rucks etzimpulse 
in der Hochlaufphase des Systems hangen bleibt, werden die 
Watch-Dog- Vorrichtungen der Peripheriegerate und des 
Rechners unmittelbar nach dem Hochlaufen des Systems 
synchronisiert. 

[0006] Ausgehend von dem vorgenannten Stand der Tech- 
nik liegt der vorliegenden Erfindung die Aufgabe zugrunde, 
ein eigensicheres Rechnersystem und ein Verfahren zum 
Uberwachen eines eigensicheren Rechnersystems bereitzu- 
stellen, die eine grofiere Funktionssicherheit des Rechnersy- 
stems gewahrleisten. 

[0007] Diese Aufgabe wird durch ein Verfahren zum 
Uberwachen eines eigensicheren Rechnersystems mit den 
Merkmalen von Patentanspruch 1 bzw. durch ein eigensi- 
cheres Rechnersystem mit den Merkmalen von Patentan- 
spruch 9 gelost. Vorteilhafte Ausgestaltungen und Weiterbil- 
dungen der Erfindung sind in den Unteranspriichen 2-8 bzw. 
10-16 definiert. 

[0008] Bei dem eigensicheren Rechnersystem gemafi der 
vorliegenden Erfindung werden iiber erste Signalleitungen 
zwischen der ersteri und der zweiten Recheneinheit Daten 
und/oder Steuersignale iibertragen; jede Recheneinh 
uberpriift mittels einer entsprechenden Vorrichtung die von 
der anderen Recheneinheit iibertragenen Daten und/oder 
Steuersignale zum Erkennen eines fehlerhaften Zustandes 
der anderen Recheneinheit; bei Erkennen eines fehlerhaften 
Zustandes einer der Recheneinheiten durch die andere Re- 
cheneinheit wird von der anderen Recheneinheit iiber zweite 
Signalleitungen einen Riicksetzimpuls (Reset) zum Neustar- 
ten der einen Recheneinheit iibertragen; und das Rechnersy- 
stem wird bei Inbetriebnahme durch Zufuhren eines Riick- 
setzimpulses (Power-On-Reset) uber eine entsprechende Si- 
gnalleitung zu den Recheneinheiten initialisiert, wobei wah- 
rend des Initialisierungsvorgangs bei Inbetriebnahme des 
Rechnersystems die Funktion des gegenseitigen Neustartens 
der Recheneinheiten durch Ubertragen von Rucksetzimpul- 
sen iiber die zweiten Signalleitungen auf Fehler uberpriift 
wird. Dadurch, dass bei jeder Inbetriebnahme des Rechner- 
systems die Funktion des gegenseitigen Neustartens der Re- 
cheneinheiten uberpriift wird, wird die Betriebssicherheit 
des Rechnersystems deutlich erhoht. Ein Rechnersystem, 
bei dem diese fur die Sicherheit unbedingt erforderliche 
Funktion des gegenseitigen Neustartens der Recheneinhei- x . 
ten als fehlerbehaftet erkannt wird, kann nicht in Betrieb ge- 
nommen werden. 

[0009] Diese Funktionspriifung kann dadurch erfolgen, 
dass wahrend des Initialisierungsvorgangs bei Inbetrieb- 
nahme des Rechnersystems die Recheneinheiten nacheinan- 
der durch einen Riicksetzimpuls von der jeweils anderen 
Recheneinheit. neu gestartet werden und der Initialisierungs- 
vorgang nur abgeschlossen wird, wenn die Funktion des ge- 
genseitigen Neustartens der Recheneinheiten als fehlerfrei 
festgestellt worden ist. 

[0010] Zur Durchfiihrung der Funktionspriifung ist es vor- 
teilhaft, der ersten Recheneinheit von der zweiten Rechen- 
einheit iiber die erste Signalleitung oder eine zusatzliche Si- 
gnalleitung ein Steuersignal zuzufiihren, welches einen Be- 
trieb szu stand der zweiten Recheneinheit angibt. 
[0011] Je nach Betriebszustand der zweiten Recheneinheit 
kann dieses Steuersignal zu Beginn der Inbetriebnahme des 
Rechnersystems sowie nach einem erfolgreich abgeschlos- 
senen Initialisierungsvorgang bei Inbetriebnahme des Rech- 
nersystems einen Betriebszustand "vor der Initialisierung" 
(Init), nach einer als fehlerfrei fest.gestellten Funktion des 
gegenseitigen Neustartens der Recheneinheiten wahrend 
des Initialisierungsvorgangs bei Inbetriebnahme des Rech- 
nersystems einen Betriebszustand "Funktion des gegenseiti- 
gen Neustartens als fehlerfrei festgestellt ,, (Reset ACK) und 
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bei Erkennen einer fehlerhaften ersten Recheneinheit einen 
Betriebszustand "Fehler in Recheneinheit erkannt" (Failure 
detected) angeben. Mit anderen Worten kann der ersten Re- 
cheneinheit uber die zusatzliche Signalleitung signalisiert 
werden, ob der Neustart durch einen Power-On-Reset bei 
Inbetriebnahme des Rechnersys terns, die Priifung der Funk- 
tion des gegenseitigen Neustartens der Recheneinheiten 
oder durch einen festgestellten Fehler ausgelost wurde. 
[0012] Zur weiteren Erhohung der Sicherheit kann auch 
noch eine weitere zusatzliche Signalleitung vorgesehen 
sein, iiber die der zweiten Recheneinheit von der ersten Re- 
cheneinheit in analoger Weise ein Steuersignal zufuhrbar ist, 
welches einen Betriebszustand der ersten Recheneinheit an- 
gibt. Altemativ kann dieses Steuersignal der zweiten Re- 
cheneinheit von der ersten Recheneinheit auch iiber die erste 
Signalleitung zugefuhrt werden. 

[0013] Ein bevorzugtes Ausruhrungsbeispiel der vorlie- 
genden Erfindung wird nachfolgend anhand der Zeichnun- 
gen naher erlautert. Darin zeigen: 

[0014] Fig. 1 ein stark vereinfachtes Blockschaltbild eines 
Rechnersys terns gemaB einem bevorzugten Ausfiihrungs- 
beispiel der vorliegenden Erfindung; und 
[0015] Fig. 2 eine schematische Darstellung zur Erlaute- 
rung der erfindungsgemaBen Funktionsprufung bei dem in 
Fig. 1 dargestellten Rechnersystem. 

[0016] In Fig. 1 ist zunachst ein Blockschaltbild eines 
Rechnersystems gernaB einem bevorzugten Ausfuhrungs- 
beispiel der Erfindung in stark vereinfachter Form darge- 
stellt. Die erflndungsgemaBe Funktionsweise der Uberprii- 
fung der Reset-Pfade des Rechnersystems wird anschlie- 
Bend anhand von Fig. 2 naher erlautert. 
[0017] Das in Fig. 1 dargestellte Rechnersystem 2 weist 
zwei Recheneinheiten bzw. Prozessoren 20, 30 auf, die sich 
gegenseitig uberwachen. Die erste Recheneinheit 20 wird 
auch als Hauptrechner oder Main-Prozessor bezeichnet, 
wahrend die zweite Recheneinheit 30 auch als Zweitrechner 
oder Safety-Prozessor bezeichnet wird. Es sei an dieser 
Stelle darauf hingewiesen, dass die vorliegende Erfindung 
grundsatzlich nicht auf ein Rechnersystem mit zwei Re- 
cheneinheiten beschrankt ist, es konnen vielmehr auch drei 
oder mehr Recheneinheiten in dem Rechnersystem vorhan- 
den sein, die sich gegenseitig uberwachen. 
[0018] Beide Recheneinheiten 20, 30 sind mit einem Da- 
ten- und Kontrollbus 4 und jeweils einem I/O-Bus 18 bzw. 
19 verbunden. Die Recheneinheiten 20, 30 konnen vorzugs- 
weise unabhangig voneinander arbeiten und mit unter- 
schiedlichen Taktfrequenzen betrieben werden. 
[0019] Die Recheneinheiten 20 und 30 sind iiber erste Si- 
gnalleitungen 6 und 8 miteinander verbunden, iiber die Da- 
ten und/oder Steuersignale von der einen zu der anderen Re- 
cheneinheit ubertragen werden konnen. In jeder Rechenein- 
heit 20, 30 ist eine Vorrichtung 22 bzw. 32 zum Erkennen ei- 
nes fehlerhaften Zustandes der jeweils anderen Rechenein- 
heit 30, 20 anhand der iiber die ersten Signalleitungen 6, 8 
ubertragenen Daten und/oder Steuersignale vorgesehen. Die 
ersten Signalleitungen 6, 8 werden haufig als Watch- Dog- 
Sign alleitungen zur Ubertragung von Watch -Dog-Si gnalen 
bezeichnet, welche in den sogenannten Watch-Dogs 22, 32 
ausgewertet. werden. Derartige Watch-Dog-Konstruktionen 
sind bereits aus dem Stand der Technik bekannt und werden 
deshalb an dieser Stelle nicht naher erlautert. Die vorlie- 
gende Erfindung ist auBerdem nicht auf diese eine spezielle 
Art des Erkennens eines fehlerhaften Zustandes in einer der 
Recheneinheiten beschrankt. 

[0020] Erkennt einer der Watch-Dogs 22, 32 einen fehler- 
haften Zustand der anderen Recheneinheit 20, 30, so gibt er 
ein entsprechendes Steuersignal an einen Ausgangsan- 
schluss der Recheneinheit 30, 20 ab, der iiber eine zweite Si- 



gnalleitung 12 bzw. 10 mit der anderen Recheneinheit 30, 20 
verbunden ist. Uber diese zweiten Signalleitungen 10, 12 
wird der jeweils als fehlerhaft erkannten Recheneinheit 20, 
30 ein Rucks etzimpuls (Reset) zum Neustarten dieser Re- 
5 cheneinheit 20, 30 ubertragen. 

[0021] Diese zweiten Reset-Signalleitungen 10, 12 sind 
auBerdem mit einer weiteren Signalleitung 16 gekoppelt, 
iiber die den beiden Recheneinheiten 20, 30 einen gemeinsa- 
men Rucksetzimpuls (Power-On-Reset) zum Initialisieren 
10 der Recheneinheiten 20, 30 bei einer Inbetriebnahme des 
Rechnersystems 2 zugefuhrt wird. 

[0022] AuBerdem ist zwischen den beiden Recheneinhei- 
ten 20, 30 des Rechnersystems 2 eine zusatzliche Signalled 
rung 14 vorgesehen. Uber diese zusatzliche Signalleitung 14 

15 kann die zweite Recheneinheit 30 der ersten Recheneinheit 
20 ihren Betriebszustand (Status) angeben. Insbesondere 
wird der ersten Recheneinheit 20 durch diese Status-Sign al- 
leitung 14 angezeigt, ob ein Neustart (Reset) der ersten Re- 
cheneinheit 20 durch eine Inbetriebnahme des Rechnersy- 

20 stems 2 (Power-On-Reset), durch eine Uberpriifung der Re- 
set-Pfade wahrend der Initialisierung des Rechnersystems 2 
oder durch einen in der ersten Recheneinheit 20 festgestell- 
ten Fehler ausgelost werden soil. Je nach angezeigtem Be- 
triebszustand reagiert die erste Recheneinheit 20 unter- 

25 schiedlich auf den ihr zugefuhrten Rucksetzimpuls, wie dies 
spater anhand von Fig. 2 naher beschrieben wird. 
[0023] Mit Hilfe dieser Status-Signalleitung 14 konnen 
die Reset-Pfade des Rechnersystems 2, d. h. insbesondere 
die zweiten Reset-Signalleitungen 10, 12 mit den entspre- 

30 chenden Ein- und Ausgangen an den Recheneinheiten 20, 
30, auf einfache Weise und ohne wesentliche Zeitverzoge- 
rung wahrend der Initialisierung der Recheneinheiten 20, 30 
bei Inbetriebnahme des Rechnersystems 2 auf ihre Funktion 
uberpriift werden. Nur wenn eine fehlerfreie Funktion der 

35 Reset-Pfade des Rechnersystems 2 festgestellt worden ist, 
wird die Initialisierung abgeschlossen und das Rechnersy- 
stem 2 kann zu arbeiten beginnen. 

[0024] Zusatzlich kann auch die erste Recheneinheit 20 
der zweiten Recheneinheit 30 ihren Betriebszustand in ana- 

40 loger Weise iiber eine entsprechende zweite Status-Signal- 
leitung (nicht dargestellt) anzeigen. Hierdurch kann die 
Funktionssicherheit des Rechnersystems 2 wahl weise wei- 
ter erhoht werden. Anstelle von einer oder zwei zusatzlichen 
Signalleitungen konnen zur Ubertragung der Status-Steuer- 

45 signal zwischen den beiden Recheneinheiten 20, 30 auch die 
bereits vorhandenen ersten Signalleitungen 6 und 8 verwen- 
det werden. 

[0025] Der Ablauf eines erfindungsgemaBen Initialisie- 
rungsvorgangs bei dem in Fig. 1 dargestellten Rechnersy- 

50 stem 2 wird nun anhand von Fig. 2 erlautert. 

[0026] Zunachst wird zur Inbetriebnahme des Rechnersy- 
stems den Recheneinheiten 20, 30 des Rechnersystems 2 
iiber die Signalleitung 16 ein Rucksetzimpuls (Power-On- 
Reset) zugefuhrt (Schritt Ml/Si), so dass die beiden Re- 

55 cheneinheiten 20, 30 beginnen hochzufahren. Die Status-Si- 
gnalleitung 14 hat zu diesem Zeitpunkt einen Signalpegel, 
der dem Betriebszustand n vor der Initialisierung" (Ink) an- 
gibt. Die erste Recheneinheit 20 uberpriift den Signalpegel 
der Status-Signalleitung 14 und, da diese einen Betriebszu- 

60 stand "Init" anzeigt, sendet der zweiten Recheneinheit 30 
iiber die entsprechende Reset-Signalleitung 12 einen Ruck- 
setzimpuls (Schritt M2), um anschlieBend abzuwarten 
(Schritt M3). 

[0027] Aufgrund des iiber die Reset-Signalleitung 12 
65 empfangenen Rucksetzimpulses (Reset) start et die zweite 
Recheneinheit 30 erneut (Schritt S2) und beginnt mit der er- 
sten Phase der Initialisierung (Schritt S3). 
[0028J Nach einer gewissen Zeitdauer setzt die zweite Re- 
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cheneinheit 30 den Signalpegel der St.atus-Signalleit.ung 14 
auf einen Wert Reset ACK" und sendet der ersten Rechen- 
einheit 20 iiber die entsprechende Reset-Signalleitung 10 ei- 
nen Rucksetzimpuls (Schritt S4). Aufgrund des iiber die Re- 
set-Signalleitung 10 empfangenen Riicksetzimpulses (Re- 
set) startet die erste Recheneinheit 20 erneut (Schritt M4). 
Anhand des der ersten Recheneinheit 20 iiber die Status-Si- 
gnalleitung 14 angezeigten Betriebszustandes "Reset ACK" 
erkennt die erste Recheneinheit 20 auBerdem, dass der ihr 
zugefuhrte Rucksetzimpuls nach erfolgreicher Priifung bei- 
der Reset-Pfade und nicht beispielsweise bei der Inbetrieb- 
nahme des Rechnersystems 2 ausgelost worden ist. Deshalb 
lost die erste Recheneinheit 20 nicht, wie in Schritt M2 ei- 
nen Neustart der zweiten Recheneinheit 30 aus. 
[0029] Stattdessen beginnen die beiden Recheneinheiten 
20 und 30, nachdem sie die Zustande der Verfahrensschritte 
M4 bzw. S4 erreicht haben, nun parallel mit der vollstandi- 
gen Initialisierung (Schritte M5 bzw. S5), in der u. a. auch 
ROMs und RAMs uberpruft werden konnen. Im Anschluss 
daran, d. h. erst nach Uberprufung der Reset-Pfade und voll- 
standiger Initialisierung des Rechnersystems 2 beginnt die 
normale Prograrnmverarbeitung einschlieBlich der gegen- 
seitigen "Dberwachung der beiden Recheneinheiten 20, 30 
(Schritte M6 bzw. S6). Der Signalpegel der Status-Signallei- 
tung 14 wird in dieser Phase wieder auf den urspriinglichen 
Wert "Init" zuriickgesetzt, so dass ein durch Unterspannung 
ausgeloster Neustart des Rechnersystems 2 wieder zu den 
Betriebszustanden der Schritte Ml und SI fiihrt. 
[0030] Entdeckt die zweite Recheneinheit 30 wahrend der 
normalen Programmverarbeitung mit gegenseitiger Uber- 
wachung mittels der Watch-Dogs 22, 32 einen fehlerhaften 
Zustand der ersten Recheneinheit 20, so set.zt die zweite Re- 
cheneinheit 30 den Signalpegel der Statu s-Signalleitung 14 
auf "Failure detected" und sendet uber die Reset-Signallei- 
tung 10 einen Rucksetzimpuls zu der ersten Recheneinheit 
20 (Schritt S7). Die erste Recheneinheit 20 wird dadurch 
neu gestartet (Schritt M7), erkennt aber den Betriebszustand 
"Failure detected", so dass die erste Recheneinheit 20 die 
Fehlersituation bemerken und bewerten (Schritt M8) und 
moglicherweise auch einen Neustart der zweiten Rechenein- 
heit 30 auslosen kann (Schritt M2). 

[0031] Wie oben erwahnt, beginnt die normale Pro- 
grammverarbeitung einschlieBlich der gegenseitigen Uber- 
wachung der beiden Recheneinheiten 20, 30 erst nach Uber- 
priifung der Reset-Pfade und vollstandiger Initialisierung 
des Rechnersystems 2. Empfangt die erste Recheneinheit 20 
wahrend des Initialisierungsvorgangs nicht nach einer vor- 
gegebenen Zeitdauer einen Rucksetzimpuls von der zweiten 
Recheneinheit (Schritt S4), so erkennt die erste Rechenein- 
heit 20, dass ein Funktionsfehler in den Reset-Pfaden des 
Rechnersystems 2 vorliegt. Die erste Recheneinheit 20 kann 
in diesem Fall das Rechnersystem 2 in einen sicheren Zu- 
stand iiberfuhren. 

[0032] Auf diese Weise wird gewahrleistet, dass das 
Rechnersystem 2 nur in seinen normalen Betriebszustand 
iibergeht, wenn seine Reset-Pfade als fehlerfrei erkannt wor- 
den sind. Durch das Rechnersystem gemaB der vorliegenden 
Erfindung kann es somit nicht vorkommen, dass im Normal- 
betrieb des Rechnersystems eine der Rechnereinheiten einen 
Fehlerbei der anderen Recheneinheit erkennt, aber aufgrund 
einer Fehlfunktion in den Reset-Pfaden des Rechnersystems 
keinen Neustart der fehlerhaften Recheneinheit auslosen 
kann. Hierdurch wird die Sicherheit des gesamten Rechner- 
systems deutlich erhoht. 

[0033] Ein weiterer Vorteil der Erfindung liegt darin, dass 
die Reset-Pfade des Rechnersystems ohne groBen Aufwand 
direkt auf ihre Funktionssicherheit gepruft werden konnen. 
Die Uberprufung gemaB dem erfindungsgemaBen Verfahren 
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15 



verlangert die Initialisierung des Rechnersystems bei dessen 
Inbetriebnahme nur unwesentlich. 

BEZUGSZEICHENLISTE 

2 Rechnersystem 

4 Daten- und Kontrollbus 

6, 8 erste Signalleitungen (Watch-Dog) 

10, 12 zweite Signalleitungen (Reset) 

14 zusatzliche Signalleitung (Status) 

16 (Power-On-Reset)-Signalleitung 

18 I/O-Bus 

19 I/O-Bus 

20 erste Recheneinheit 

22 Fehlererkennungsvorrichtung 

30 zweite Recheneinheit 

32 Fehlererkennungsvorrichtung 
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1. Verfahren zum Uberwachen eines Rechnersystems 
mit wenigstens einer ersten und einer zweiten Rechc 
einheit, die sich gegenseitig uberwachen, wobei 
zwischen der ersten und der zweiten Recheneinheit 
(20, 30) iiber erste Signalleitungen (6, 8) Daten und/ 
oder Steuersignale iibertragen werden; 

jede Recheneinheit (20, 30) die von der anderen Re- 
cheneinheit (30, 20) iibertragenen Daten und/oder 
Steuersignale zum Erkennen eines fehlerhaften Zustan- 
des der anderen Recheneinheit (30, 20) uberpruft; 
bei Erkennen eines fehlerhaften Zustandes einer der 
Recheneinheiten (20, 30) durch die andere Rechenein- 
heit (30, 20) von der anderen Recheneinheit iiber 
zweite Signalleitungen (12, 10) ein Riicksetzimpuls 
(Reset) zum Neustarten der einen Recheneinheit (20, 
30) iibertragen wird; und 

das Rechnersystem (2) bei Inbetriebnahme durch Zu- 
fiihren eines Riicksetzimpulses (Power-On-Reset) zu 
den Recheneinheiten (20, 30) initialisiert wird, 
dadurch gekennzeichnet, 

dass wahrend des Initialisierungsvorgangs bei Inbe- 
triebnahme des Rechnersystems (2) die Funktion des 
gegenseitigen Neustartens der Recheneinheiten (20, 
30) durch Iibertragen von Riicksetzimpulsen iiber die 
zweiten Signalleitungen (10, 12) auf Fehler iiberpriift 
wird. 

2. Verfahren zum Uberwachen eines Rechnersystems 
nach Anspruch 1, dadurch gekennzeichnet, dass der In- 
itialisierungsvorgang bei Inbetriebnahme des Rechner- 
systems (2) nur abgeschlossen wird, wenn die Funktion 
des gegenseitigen Neustartens der Recheneinheiten 
(20, 30) als fehlerfrei festgestellt worden ist. 

3. Verfahren zum Uberwachen eines Rechnersystems 
nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass 
wahrend des Initialisierungsvorgangs bei Inbetrieb- 
nahme des Rechnersystems (2) die Recheneinheiten 
(20, 30) nacheinander durch einen Rucksetzimpuls von 
der jeweils anderen Recheneinheit neu gestartet wer- 
den. 

4. Verfahren zum Uberwachen eines Rechnersystems 
nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, dass zumindest die zweite Rechenein- 
heit (30) der ersten Recheneinheit (20) iiber die erste 
Signalleitung (8) oder eine zusatzliche Signalleitung 
(14) ihren Betriebszustand angibt. 

5. Verfahren zum Uberwachen eines Rechnersystems 
nach Anspruch 4, dadurch gekennzeichnet, dass die 
zweite Recheneinheit (30) der ersten Recheneinheit 
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(20) zu Beginn der Inbetriebnahme des Rechnersy- 
stems einen Betriebszustand "vor der Initialisierung" 
(Init) angibt. 

6. Verfahren zum Uberwachen eines Rechnersystems 
nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass 
die zweite Recheneinheit (30) der ersten Recheneinheit 
(20) nach einer als fehlerfrei festgestellten Funktion 
des gegenseitigen Neustartens der Recheneinheiten 
(20, 30) wahrend des Initialisierungsvorgangs bei Inbe- 
triebnahme des Rechnersystems (2) einen Betriebszu- 
stand "Funktion des gegenseitigen Neustartens als feh- 
lerfrei festgestellt" (Reset ACK) angibt. 

7. Verfahren zum Uberwachen eines Rechnersystems 
nach einem der Anspriiche 4 bis 6, dadurch gekenn- 
zeichnet, dass die zweite Recheneinheit (30) der ersten 
Recheneinheit (20) nach einem erfolgreich abgeschlos- 
senen Initialisierung svorgang bei Inbetriebnahme des 
Rechnersystems (2) einen Betriebszustand "vor der In- 
itialisierung" (Init) angibt. 

8. Verfahren zum Uberwachen eines . Rechnersystems 
nach einem der Anspriiche 4 bis dadurch gekennzeich- 
net, dass die zweite Recheneinheit (30) der ersten Re- 
cheneinheit (20) bei Erkennen einer fehlerhaften ersten 
Recheneinheit (20) einen Betriebszustand "Fehler in 
Recheneinheit erkannt" (Failure detected) angibt. 

9. Rechnersystem mit wenigstens einer ersten und ei- 
ner zweiten Recheneinheit, die sich gegenseitig uber- 
wachen, wobei 

erste Signalleitungen (6, 8) zur Ubertragung von Daten 
und/oder Steuersignalen zwischen der ersten urid der 
zweiten Recheneinheit (20, 30) vorgesehen sind; 
jede Recheneinheit (20, 30) eine Vorrichtung (22, 32) 
zum Erkennen eines fehlerhaften Zustandes der ande- 
ren Recheneinheit (30, 20) anhand der iibertragenen 
Daten und/oder Steuersignale aufweist; 
zweite Signalleitungen (10, 12) zur Ubertragung von 
Rucksetzimpulsen (Reset) zwischen der ersten und der 
zweiten Recheneinheit (20, 30) vorgesehen sind, wobei 
bei Erkennen eines fehlerhaften Zustandes einer der 
Recheneinheiten (20, 30) durch die Vorrichtung (32, 
22) der anderen Recheneinheit (30, 20) von der ande- 
ren Recheneinheit ein Rucksetzimpuls zum Neustarten 
der einen Recheneinheit (20, 30) ubertragen wird; und 
eine Signalleitung (16) vorgesehen ist, iiber die der er- 
sten und der zweiten Recheneinheit (20, 30) ein Ruck- 
setzimpuls (Power-On-Reset) zufuhrbar ist, urn das 
Rechnersystem (2) bei Inbetriebnahme zu initialisie- 
ren, gekennzeichnet durch 

eine Einrichtung zum Uberpriifen der Funktion des ge- 
genseitigen Neustartens der Recheneinheiten (20, 30) 
durch Ubertragen von Rucksetzimpulsen iiber die 
zweiten Signalleitungen (10, 12) wahrend des Initiali- 
sierungsvorgangs bei Inbetriebnahme des Rechnersy- 
stems (2) auf Fehler. 

10. Rechnersystem nach Anspruch 9, dadurch gekenn- 
zeichnet, dass der Initialisierungsvorgang bei Inbe- 
triebnahme des Rechnersystems (2) nur abgeschlossen 
wird, wenn die Funktion des gegenseitigen Neustartens 
der Recheneinheiten (20, 30) als fehlerfrei festgestellt 
worden ist. 

11. Rechnersystem nach Anspruch. 9 oder 10, dadurch 
gekennzeichnet, dass das Rechnersystem eine zusatzli- 
che Signalleitung (14) aufweist, iiber die der ersten Re- 
cheneinheit (20) von der zweiten Recheneinheit (30) 
ein Steuersignal zufuhrbar ist, welches einen Betriebs- 
zustand der zweiten Recheneinheit (30) angibt. 

12. Rechnersystem nach Anspruch 9 oder 10, dadurch 
gekennzeichnet, dass der ersten Recheneinheit (20) 
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von der zweiten Recheneinheit (30) iiber die erste Si- 
gnalleitung (8) ein Steuersignal zufuhrbar ist, welches 
einen Betriebszustand der zweiten Recheneinheit (30) 
angibt. 

13. Rechnersystem nach Anspruch 11 oder 12, da- 
durch gekennzeichnet, dass iiber die erste Signalleitung 
(8) oder die zusatzliche Signalleitung (14) der ersten 
Recheneinheit (30) von der zweiten Recheneinheit (30) 
zu Beginn der Inbetriebnahme des Rechnersystems (2) 
einen Betriebszustand "vor der Initialisierung" (Init) 
und nach einer als fehlerfrei festgestellten Funktion des 
gegenseitigen Neustartens der Recheneinheiten (20, 
30) wahrend des Initialisierungsvorgangs bei Inbe- 
triebnahme des Rechnersystems (2) eirien Betriebszu- 
stand "Funktion des gegenseitigen Neustartens als feh- 
lerfrei festgestellt" (Reset ACK) zufuhrbar ist. 

14. Rechnersystem nach einem der Anspriiche 11 bis 

13, dadurch gekennzeichnet, dass iiber die erste Signal- 
leitung (8) oder die zusatzliche Signalleitung (14) der 
ersten Recheneinheit (30) von der zweiten Rechenein- 
heit (30) bei Erkennen einer fehlerhaften ersten Re- 
cheneinheit (20) einen Betriebszustand "Fehler in Re- 
cheneinheit erkannt" (Failure detected) zufuhrbar ist. 

15. Rechnersystem nach einem der Anspriiche 9 bis 

14, dadurch gekennzeichnet, dass das Rechnersystem 
eine weitere zusatzliche Signalleitung aufweist, iiber 
die der zweiten Recheneinheit (30) von der ersten Re- 
cheneinheit (20) ein Steuersignal zufuhrbar ist, wel- 
ches einen Betriebszustand der ersten Recheneinheit 
(20) angibt. 

16. Rechnersystem nach einem der Anspriiche 9 bis 
14, dadurch gekennzeichnet, dass der zweiten Rechen- 
einheit (30) von der ersten Recheneinheit (20) iiber die 
erste Signalleitung (6) ein Steuersignal zufuhrbar ist, 
welches einen Betriebszustand der ersten Rechenein- 
heit (20) angibt. 
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Computer error^^nitoring method e.g. for motor vehicle 
electronic control and braking systems, involves transmitting 
reset pulse via signal lines when error state of computer unit 
is detected 
DE10151012-A1 
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NOVELTY - A method of monitoring a computer system with 
first and second computing units (20,30) between which data 
and/or control signals are transmitted via first signal lines 
(6,8). When an error state of one of the computer units (20;30) 
is detected by the other computer unit (30; 20) a reset pulse is 
transmitted from the other computer unit via second signal 
lines (12,10) to re-start afresh the one computer unit (20;30). 
During installation of the computer system (2), the latter is 
initialized by supplying a reset pulse (power-on-reset ) to the 
computer units (20,30), and during the initialization process 
during installation of the computer system, the function of 
mutual starting of the computer units (20,30) afresh is checked 
for errors by transmitting reset pulses via the second signal 
lines (10,12). DETAILED DESCRIPTION - An INDEPENDENT CLAIM is 
given for a computer system with two computer units.; USE - For 
safety functions, such as electronic engine control and 
electronic braking systems in motor vehicles. ADVANTAGE - 
Greater functional safety of the computer system. DESCRIPTION 
OF DRAWING (S) - A much simplified block circuit diagram of a 
computer system is given. Computer system 2 Data- and control- 
bus 4 First signal lines 6,8 Second signal lines 10,12 Power-on 
reset signal line 16 Error detection devices 22,32 
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